ID СЕССИИ: Почему его нужно обновить?

Question

Мне просто любопытно. Есть методы, которые я видел, где идентификатор сессии обновляется. Я знаю важность сессии, но я не понимаю, почему мы обновляем идентификатор сессии.

Здесь, в CodeIgniter (PHP framework), идентификатор сеанса обновляется каждые 5 минут по умолчанию. Это проблема безопасности, о которой мы здесь говорим? Просто хочу знать. Спасибо, кто ответит! :)

Answer 1

это ДОЛЖНО часто обновляться.

Допустим, вы вошли в какой-либо онлайн-сайт выпечки. Конечно, у вас есть уникальный идентификатор сессии. НО, если он не часто обновляется, кто-то может просто взять ваш идентификатор сеанса, используя некоторые приемы XSS, подключить свой идентификатор сеанса к своему браузеру и poof! он вошел в систему используя ваши учетные данные!

и сервер никогда не узнает, что вы больше не заходите на сайт, так как он использовал ваш собственный идентификатор сессии.

http://en.wikipedia.org/wiki/Session_hijacking

Answer 2

Одной из причин для регенерации идентификатора сеанса является предотвращение перехвата сеанса.

Перехват сеанса - это когда хакер узнает идентификатор сеанса пользователя, и использует его, чтобы притвориться, что он тот пользователь.

Подробнее см. Руководство по безопасности PHP .

Answer 3

Основной причиной является предотвращение перехвата сеанса.Список способов угонять сессии находится в этой википедии статья .Чтобы предотвратить фиксацию сеанса , эта статья хороша.

При частом обновлении идентификатора сеанса любые украденные идентификаторы сеанса не будут очень полезны для злоумышленника.В вашем примере для кражи идентификатора сеанса может потребоваться более 5 минут, после чего он становится бесполезным, поскольку срок его действия истек.

При краже идентификатора сеанса злоумышленник принимает ваше удостоверение и может выполнитьдействие, которое вам разрешено делать.